Blog

Wat gebeurt er met bedrijfsdata als medewerkers zomaar ChatGPT gebruiken?

  • Posted by: Dustin Wijnberg
Laptop op kantoorbureau met geopend chatvenster op scherm, vertrouwelijk document gedeeltelijk onder toetsenbord geschoven, verlicht door amberkleurige bureaulamp.

Als medewerkers zonder beleid of begeleiding ChatGPT gebruiken, lopen organisaties het risico dat vertrouwelijke bedrijfsdata terechtkomt in externe AI-systemen die die informatie kunnen opslaan en verwerken buiten de controle van de organisatie. Dit geldt voor alles van klantgegevens en financiële rapportages tot interne strategiedocumenten en persoonsgegevens. De vragen hieronder geven je een helder beeld van de risico’s, de juridische context en de stappen die je als organisatie kunt nemen.

Welke bedrijfsdata lopen risico als medewerkers ChatGPT gebruiken?

Vrijwel elke categorie gevoelige bedrijfsinformatie loopt risico zodra medewerkers deze in ChatGPT invoeren zonder dat daar afspraken over zijn gemaakt. Denk aan klantgegevens, personeelsdossiers, contracten, financiële prognoses, productstrategieën en interne communicatie. Het probleem is niet dat ChatGPT per definitie onveilig is, maar dat medewerkers zich vaak niet bewust zijn van wat ze precies delen.

In de praktijk zien we dat medewerkers ChatGPT inzetten voor taken als het samenvatten van vergadernotulen, het opstellen van offertes of het analyseren van spreadsheets. Bij al deze toepassingen bestaat de kans dat er vertrouwelijke informatie in de prompt terechtkomt. De meest risicovolle categorieën zijn:

  • Persoonsgegevens van medewerkers of klanten, zoals namen, adressen en BSN-nummers
  • Financiële data, zoals omzetcijfers, budgetten en prognoses
  • Intellectueel eigendom, zoals productontwikkelingsplannen of broncode
  • Juridische documenten, zoals contracten, overeenkomsten en juridisch advies
  • Strategische informatie, zoals fusieplannen, acquisitietrajecten of marktanalyses

Het risico is extra groot omdat medewerkers de grens tussen openbare en vertrouwelijke informatie niet altijd scherp voor ogen hebben. Een onschuldig lijkende vraag aan een AI-tool kan al meer prijsgeven dan gewenst.

Hoe verwerkt ChatGPT de informatie die medewerkers invoeren?

ChatGPT, in de standaard consumentenversie, kan ingevoerde gespreksdata gebruiken om het model verder te trainen, tenzij gebruikers dit expliciet uitschakelen. Dit betekent dat tekst die medewerkers invoeren in principe buiten de organisatie terechtkomt en wordt opgeslagen op servers van OpenAI, een Amerikaans bedrijf dat valt onder Amerikaanse wetgeving.

Het is belangrijk om onderscheid te maken tussen de verschillende versies van ChatGPT. De gratis en betaalde consumentenversies hebben standaard instellingen die dataverzameling toestaan. De zakelijke variant, ChatGPT Enterprise, biedt sterkere privacygaranties: gegevens worden niet gebruikt voor modeltraining en worden versleuteld opgeslagen. Maar ook hier geldt dat data de eigen IT-omgeving van de organisatie verlaat en wordt verwerkt door een externe partij.

Voor organisaties die werken met gevoelige informatie is dit een fundamenteel punt: zodra data de eigen systemen verlaat, verlies je als organisatie de directe controle over wat ermee gebeurt. Zelfs als een aanbieder sterke privacygaranties biedt, blijft er een afhankelijkheid van externe infrastructuur en beleid.

Wat zijn de juridische risico’s van ongecontroleerd ChatGPT-gebruik op de werkvloer?

Ongecontroleerd ChatGPT-gebruik kan organisaties blootstellen aan overtredingen van de AVG, schendingen van geheimhoudingsverplichtingen en aansprakelijkheidsrisico’s. Omdat OpenAI een Amerikaans bedrijf is, speelt ook de internationale doorgifte van persoonsgegevens een rol, wat onder de AVG aan strikte voorwaarden is gebonden.

De meest concrete juridische risico’s zijn:

  • AVG-overtredingen: Het invoeren van persoonsgegevens in een externe AI-tool zonder verwerkersovereenkomst of rechtmatige grondslag is in strijd met de Algemene Verordening Gegevensbescherming.
  • Schending van de AI-verordening: De Europese AI-wet, die in 2026 verder van kracht gaat, stelt eisen aan het gebruik van AI-systemen, met name voor risicovolle toepassingen. Organisaties die geen beleid hebben, lopen het risico niet aan de AI-wet- en regelgeving voor bedrijven te voldoen.
  • Contractuele aansprakelijkheid: Als vertrouwelijke klantinformatie via een medewerker in een externe AI-tool belandt, kan dit leiden tot contractbreuk en schadeclaims.
  • Reputatieschade: Een datalek als gevolg van AI-gebruik kan het vertrouwen van klanten en partners ernstig schaden.

Organisaties zijn als verwerkingsverantwoordelijke verplicht passende technische en organisatorische maatregelen te nemen. Het ontbreken van een AI-gebruiksbeleid wordt door toezichthouders steeds vaker gezien als een tekortkoming in die verplichting.

Hoe kunnen organisaties een AI-gebruiksbeleid opstellen?

Een effectief AI-gebruiksbeleid begint met het in kaart brengen van hoe medewerkers AI-tools momenteel gebruiken, gevolgd door het opstellen van duidelijke richtlijnen over welke informatie wel en niet mag worden ingevoerd in externe AI-systemen. Het beleid moet praktisch, begrijpelijk en handhaafbaar zijn.

Een goed AI-gebruiksbeleid bevat in elk geval de volgende elementen:

  1. Inventarisatie van AI-gebruik: Breng in kaart welke tools medewerkers gebruiken en voor welke taken.
  2. Classificatie van data: Bepaal welke informatie vertrouwelijk is en communiceer dit helder naar medewerkers.
  3. Toegestane en verboden toepassingen: Geef concrete voorbeelden van wat wel en niet mag, zodat medewerkers niet hoeven te gissen.
  4. Goedgekeurde tools: Stel een lijst op van AI-tools die voldoen aan de eisen van de organisatie op het gebied van privacy en beveiliging.
  5. Meldplicht bij incidenten: Beschrijf wat medewerkers moeten doen als ze per ongeluk gevoelige informatie hebben gedeeld.
  6. Regelmatige evaluatie: Het AI-landschap verandert snel, dus het beleid moet minimaal jaarlijks worden herzien.

Betrek bij het opstellen van het beleid zowel de juridische afdeling als IT, HR en de medewerkers zelf. Een beleid dat medewerkers als onrealistisch of belemmerend ervaren, wordt in de praktijk niet nageleefd.

Welke alternatieven voor ChatGPT zijn veiliger voor zakelijk gebruik?

Voor zakelijk gebruik zijn er AI-oplossingen die meer privacygaranties bieden dan de standaard consumentenversie van ChatGPT. De veiligste opties zijn tools die draaien binnen de eigen IT-omgeving van de organisatie of die expliciete verwerkersovereenkomsten bieden die voldoen aan Europese wetgeving.

Enkele richtingen die organisaties kunnen verkennen:

  • Microsoft Copilot for Microsoft 365: Geïntegreerd in de Microsoft-omgeving met sterke privacyafspraken, waarbij data niet wordt gebruikt voor modeltraining.
  • ChatGPT Enterprise: Biedt meer privacywaarborgen dan de consumentenversie, maar data verlaat nog steeds de eigen omgeving.
  • On-premise of private cloud AI-oplossingen: Tools die draaien op de eigen servers of in een afgeschermde cloudomgeving van de organisatie bieden de meeste controle over data.
  • Europese AI-aanbieders: Aanbieders die volledig onder Europese wetgeving vallen, zijn voor veel organisaties een aantrekkelijk alternatief vanuit AVG-perspectief.

De juiste keuze hangt af van de specifieke behoeften, het risiconiveau van de data en het beschikbare IT-budget. Wat in alle gevallen geldt: een tool is alleen zo veilig als het beleid en de training eromheen.

Hoe train je medewerkers in verantwoord AI-gebruik?

Medewerkers trainen in verantwoord AI-gebruik betekent niet alleen uitleggen wat verboden is, maar hen ook leren hoe ze AI-tools effectief en veilig kunnen inzetten. De training moet praktisch zijn, aansluiten bij de dagelijkse werkpraktijk en regelmatig worden herhaald naarmate AI-tools zich verder ontwikkelen.

Effectieve training in verantwoord AI-gebruik richt zich op drie niveaus:

  • Bewustwording: Medewerkers begrijpen welke risico’s er zijn en waarom het beleid bestaat.
  • Vaardigheden: Medewerkers weten hoe ze AI-tools verantwoord gebruiken, inclusief het herkennen van gevoelige informatie in hun eigen prompts.
  • Houding: Medewerkers voelen zich medeverantwoordelijk voor de databeveiliging van de organisatie en handelen daarnaar.

Eenmalige informatiesessies zijn niet voldoende. Microlearnings, praktijkgerichte scenario’s en regelmatige updates over nieuwe ontwikkelingen zorgen voor blijvende gedragsverandering. Het is ook waardevol om medewerkers te laten oefenen met het herkennen van risicovolle situaties, zodat ze in de praktijk sneller de juiste keuze maken.

Hoe SkillsTown helpt bij verantwoord AI-gebruik in jouw organisatie

Wil je als organisatie grip krijgen op het AI-gebruik van medewerkers en tegelijkertijd de kansen van AI optimaal benutten? Dan is gerichte training een onmisbare schakel. Bij SkillsTown bieden we een compleet aanbod aan AI-trainingen die medewerkers helpen om AI-tools verantwoord, effectief en in lijn met de geldende wet- en regelgeving in te zetten.

Wat wij bieden:

  • Praktijkgerichte AI-trainingen voor medewerkers op alle niveaus, van bewustwording tot gevorderd gebruik
  • Trainingen die aansluiten bij de AI-wet- en regelgeving voor bedrijven, waaronder de Europese AI-verordening en de AVG
  • Een schaalbaar online leerplatform waarop medewerkers op hun eigen tempo en moment kunnen leren
  • Mogelijkheid om eigen AI-beleid en interne richtlijnen te verwerken in gepersonaliseerde leermodules
  • Meetbare resultaten via learning analytics, zodat je als L&D-manager of HR-professional kunt aantonen dat de training daadwerkelijk effect heeft

Verantwoord AI-gebruik begint bij goed opgeleide medewerkers. Plan een vrijblijvende demo en ontdek hoe wij jouw organisatie helpen om AI veilig en strategisch in te zetten.

Veelgestelde vragen

Wat moet ik doen als een medewerker al vertrouwelijke data heeft ingevoerd in ChatGPT?

Behandel het als een potentieel datalek en volg het incidentresponsproces van je organisatie. Documenteer wat er is gedeeld, beoordeel het risico op basis van de gevoeligheid van de informatie, en overweeg of je een melding moet doen bij de Autoriteit Persoonsgegevens (AP) — dit is verplicht als er persoonsgegevens betrokken zijn en het lek een risico vormt voor betrokkenen. Gebruik het incident ook als aanleiding om medewerkers direct te informeren over het geldende beleid.

Hoe weet ik of onze organisatie al onder de Europese AI-verordening valt?

De Europese AI-verordening (AI Act) is gefaseerd van kracht en geldt voor organisaties die AI-systemen ontwikkelen, inzetten of gebruiken binnen de EU — dus ook voor organisaties die enkel commerciële tools zoals ChatGPT gebruiken. Vanaf 2026 gelden verplichtingen rondom transparantie, risicobeheer en geletterdheid voor een breed scala aan toepassingen. Het is verstandig om nu al een juridische of compliance-check uit te voeren om te bepalen welke verplichtingen specifiek op jouw organisatie van toepassing zijn.

Is het gebruik van ChatGPT volledig verbieden niet de eenvoudigste oplossing?

Een volledig verbod lijkt eenvoudig, maar is in de praktijk zelden effectief en kan zelfs contraproductief werken. Medewerkers zullen AI-tools blijven gebruiken via privéapparaten of andere omwegen, waardoor het gebruik juist minder zichtbaar en dus moeilijker te beheersen wordt. Een beter alternatief is het opstellen van duidelijk beleid, het aanbieden van goedgekeurde en veilige alternatieven, en het investeren in training — zodat medewerkers AI verantwoord kunnen inzetten zonder de organisatie in gevaar te brengen.

Hoe betrek ik de ondernemingsraad bij het opstellen van een AI-gebruiksbeleid?

De ondernemingsraad (OR) heeft instemmingsrecht bij regelingen die het gedrag of de beoordeling van medewerkers raken, wat bij een AI-gebruiksbeleid al snel het geval is. Betrek de OR daarom vroeg in het proces, niet pas bij de definitieve versie. Transparantie over de doelstellingen van het beleid — bescherming van medewerkers én de organisatie — vergroot het draagvlak en verkleint de kans op weerstand of vertraging bij de invoering.

Hoe vaak moet een AI-gebruiksbeleid worden bijgewerkt?

Minimaal eenmaal per jaar, maar gezien de snelheid waarmee AI-tools en wetgeving zich ontwikkelen is een halfjaarlijkse evaluatie aan te raden. Koppel de evaluatiemomenten aan concrete triggers, zoals de introductie van nieuwe AI-tools binnen de organisatie, wijzigingen in de AVG of AI-verordening, of incidenten die hebben plaatsgevonden. Wijs een vaste eigenaar aan voor het beleid — vaak de CISO, privacy officer of een combinatie van juridische en IT-verantwoordelijken — zodat updates niet blijven liggen.

Kunnen kleine en middelgrote ondernemingen ook aan de slag met AI-beleid, of is dit alleen weggelegd voor grote corporates?

AI-beleid is zeker niet voorbehouden aan grote organisaties — juist voor het mkb zijn de risico's van ongecontroleerd AI-gebruik groot, terwijl de middelen voor herstel bij een incident beperkter zijn. Een basisbeleid hoeft niet uitgebreid te zijn: een helder document van één tot twee pagina's met concrete do's en don'ts, aangevuld met een korte training, is al een sterke eerste stap. Schaalbare leeroplossingen, zoals online microlearnings, maken het ook voor kleinere organisaties haalbaar om medewerkers snel en kostenefficiënt op te leiden.

Hoe meet ik of mijn AI-trainingen en -beleid daadwerkelijk effect hebben?

Effectmeting begint bij het vaststellen van een nulmeting: hoe bewust zijn medewerkers van de risico's vóór de training, en hoeveel incidenten of beleidsschendingen worden gemeld? Na de training kun je kennistoetsen, gedragsmetingen en learning analytics inzetten om voortgang te meten. Aanvullend geven periodieke audits of interne enquêtes inzicht in of medewerkers het beleid in de praktijk daadwerkelijk toepassen — en waar aanvullende begeleiding nodig is.

Gerelateerde artikelen